Windows: Beliebte Anmeldemethode konnte gehackt werden - der Angreifer arbeitet für Microsoft

Laptops haben offenbar ein Sicherheitsproblem. Denn bei gleich drei Geräten ließ sich der Login per Fingerabdruck umgehen. Der Auftraggeber der Angreifer: Microsoft selbst.

Alana Friedrichs
23.11.2023 | 13:14 Uhr

Vorsicht beim Laptop-Login. (Quelle: stock.adobe.com - nateejindakum) Vorsicht beim Laptop-Login. (Quelle: stock.adobe.com - nateejindakum)

Was ist die beliebteste Methode, um sich beim Laptop anzumelden? Wer jetzt Passwort sagt, liegt falsch. Denn laut Microsoft nutzt der Großteil der Nutzer, nämlich fast 85 Prozent, zum Anmelden Windows Hello.

Dazu gehört zum einen die häufig verwendete PIN, aber auch biometrische Anmeldemethoden wie Gesichts- oder Fingerabdruck-Scans.

Letztere haben jedoch offenbar ein ordentliches Problem: Sie können gehackt werden. Dass wir das jetzt wissen, hat aber zum Glück nichts mit einem großangelegten Angriff zu tun - sondern verdanken wir Microsoft selbst.

Mehr zum Thema
Keine Chance für Spione? Neue WhatsApp-Funktion verspricht jetzt mehr Sicherheit
von Patrick Poti
Keine Chance für Spione? Neue WhatsApp-Funktion verspricht jetzt mehr Sicherheit

Windows Hello: Microsoft beauftragt Experten mit Hack

Was ist passiert? Der Security-Firma Blackwing Intelligence ist es gelungen, den Fingerabdruck-Sensor bei gleich drei Notebooks verschiedener Hersteller zu umgehen. So konnten sie sich Zugang zum Gerät verschaffen. Dabei haben die Experten im Auftrag der Microsoft-Gruppe MORSE (Microsoft Offensive Research and Security Engineering) gehandelt.

Bei den Notebooks handelt es sich um ein Modell von Microsoft selbst, sowie um zwei weitere Geräte von Lenovo und Dell. Die genauen Modelle lauten wie folgt:

  • Microsoft Surface Pro X
  • Lenovo ThinkPad T14
  • Dell Inspiron 15

Dabei handelt es sich nach eigener Aussage um Modelle mit den drei beliebtesten Fingerabdruck-Sensoren für den Einsatz von Windows Hello. Diese stammen von den Zulieferern Goodix, Synaptics und Elan.

In einem Blogbeitrag und auf der BlueHat-Konferenz von Microsoft beschreiben die Experten, wie sie vorgegangen sind. Dabei kam ein USB-Stick zum Einsatz, mit dem ein sogenannter Man-in-the-Middle-Angriff ausgeführt wurde. Für den Angriff zwingend notwendig war allerdings physischer Zugang zum Notebook.

Empfohlener redaktioneller Inhalt

An dieser Stelle findest du einen externen Inhalt von YouTube, der den Artikel ergänzt.
Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir Inhalte von YouTube angezeigt werden.

Personenbezogene Daten können an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Link zum YouTube-Inhalt

Deep-Dive: Bei den drei Sensoren handelt es sich jeweils um Match-in-Chip-Sensoren. In diesen werden Mikroprozessor und Speicher direkt verbaut, wodurch der Fingerabdruck direkt auf dem Sensor abgeglichen werden kann. Das trägt zum Schutz der Privatsphäre des Nutzers bei und ist deshalb für Windows Hello zwingend notwendig.

Es erlaubt aber auch den Angriff durch die Experten. Denn statt den Sensor direkt zu täuschen, gaukeln sie dem Host mit einem manipulierten Sensor vor, dass sich ein Nutzer erfolgreich authentifiziert hätte.

Gegen ein solches Vorgehen hat Microsoft eigentlich eine Schutzmaßnahme eingebaut, die als SDCP (Secure Device Connection Protocol) bezeichnet wird. Das Protokoll soll sicherstellen, dass der Fingerabdruck-Sensor vertrauenswürdig ist und nicht manipuliert wurde. Außerdem soll es die Kommunikation zwischen Sensor und Host schützen.

Das Protokoll sei laut den Experten von Microsoft sicher entwickelt worden. Allerdings sei die Implementierung von SDCP auf den drei Geräten jeweils fehlerhaft gewesen, was den Angreifern schlussendlich den Zugang zum Notebook ermöglichte. Auf zwei der drei getesteten Laptops war das SDCP sogar gänzlich deaktiviert.

Lenovo LOQ Gaming AI
GAR NICHT MAL SO TEUER
Lenovo LOQ Gaming AI
15.6 Zoll, Core i5 und RTX 5060 8GB
Für ein Laptop mit solider CPU und RTX 5060 ist das Lenovo LOQ erfreulich günstig. Vor allem angesichts der Ausstattung mit 24 Gigabyte RAM in heutigen Speicherpreiszeiten.
  • Moderne Blackwell-GPU
  • 144 Hz Display
  • 24 Gigabyte RAM
  • CPU vergleichsweise schwach, wenn auch noch ausreichend
ca. 1.199 €<br>ca. 1.079 €
Gigabyte Gaming A16
BUDGET-GAMER
Gigabyte Gaming A16
16 Zoll, Ryzen 7 und RTX 5050 8GB
Aufgrund steigender Preise für Speicherprodukte gibt es nur noch wenige Laptops mit dreistelligem Preisbereich und Gamer-GPU. Die RTX 5050 ist da die einzige Alternative aktuell.
  • Ryzen 7 260 CPU ist flott
  • DDR5-RAM und 1TB SSD
  • flottes Display mit 165 Hz
  • RTX 5050 ist die untere Grenze für Gaming
1.012 €
Asus V16 V3607VM
AMAZON-EXKLUSIV
Asus V16 V3607VM
16 Zoll, Core 7 und RTX 5060 8GB
Mit dem Speicher steigen auch Laptops im Preis. Das Asus V16 gibt es aber noch zu einem fairen Kurs und mit guter Ausstattung inklusive RTX 5060.
  • Preis-Leistung
  • Gute Speicherausstattung
  • Gute CPU/GPU-Kombination
  • Akkulaufzeit unter Last
ca. 1.199 €

Was bedeutet das für euch? Blackwing Intelligence empfiehlt Herstellern nun, sicherzustellen, dass SDCP auf ihren Geräten aktiviert wurde, und diese von einer dritten Partei testen zu lassen. Bis dahin scheint ein Angriff mit der vorgestellten Methode aber weiterhin in vielen Fällen möglich.

Dass ihr das Ziel eines solchen Angriffes werdet, erscheint eher unwahrscheinlich. Einerseits, weil der Angriff mit einigem Aufwand versehen ist. Andererseits, weil es für den Angriff physischer Zugang zum Notebook braucht.

Wer sich dennoch mit aktiviertem Fingerabdruck-Sensor unsicher fühlt, kann diesen auch problemlos auf dem eigenen Notebook deaktivieren und eine alternative Anmeldemethode verwenden.

Mehr lesen: Sicherheitstipps für Spieler - Accounts und System schützen

Welche Anmeldemethode verwendet ihr für euren Windows-PC oder Windows-Laptop? Seht ihr in dieser Sicherheitslücke ein großes Problem? Und hattet ihr schon einmal ein Sicherheitsproblem mit dem Handy, Laptop oder einem anderen Gerät? Wie habt ihr darauf reagiert? Schreibt es uns in die Kommentare!

zu den Kommentaren (9)
Kommentare(6)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Kommentare einblenden

Nur angemeldete Benutzer können kommentieren und bewerten.

Ich habe ein Konto
Kostenlos registrieren
Neueste zuerst
Älteste zuerst
Top Kommentare
Aktuelle News
alle anzeigen
Malcolm Mittendrin: Was ist aus dem Cliffhanger der Originalserie in den neuen Folgen geworden?   2

vor 10 Stunden

Malcolm Mittendrin: Was ist aus dem Cliffhanger der Originalserie in den neuen Folgen geworden?
Jemand hat 1.200 Stunden eins der besten Rollenspiele bis Level 99 gegrindet, ohne je den ersten Bildschirm zu verlassen   12     2

vor 14 Stunden

Jemand hat 1.200 Stunden eins der besten Rollenspiele bis Level 99 gegrindet, ohne je den ersten Bildschirm zu verlassen
One Piece: Selbst der Ruffy-Darsteller der Netflix-Serie ist davon überzeugt, dass Son Goku der beste Held der Anime-Geschichte ist   9     2

vor 16 Stunden

One Piece: Selbst der Ruffy-Darsteller der Netflix-Serie ist davon überzeugt, dass Son Goku der beste Held der Anime-Geschichte ist
JD und Turk sind nicht nur in Scrubs beste Kumpel: Ihre Darsteller verbindet seit 25 Jahren eine enge Freundschaft   1     2

vor 18 Stunden

JD und Turk sind nicht nur in Scrubs beste Kumpel: Ihre Darsteller verbindet seit 25 Jahren eine enge Freundschaft
mehr anzeigen